《服务器安全维护》由会员分享,可在线阅读,更多相关《服务器安全维护(14页珍藏版)》请在金锄头文库上搜索。
1、服务器安安全维护护一 IIIS优化化1、禁止止多余的的Webb服务扩扩展 IIIS6.0支持持多种服服务扩展展,有些些管理员员偷懒或或者不求求甚解,担担心Weeb运行行中出现现解析错错误,索索性在建建站时开开启了所所有的WWeb服服务扩展展。殊不不 知,这这其中的的有些扩扩展比如如“所有有未知CCGI扩扩展”、“在在服务器器端的包包含文件件”等是是Webb运行中中根本用用不到的的,况且且还占用用IISS资源影影响性能能拖垮WWeb,甚甚 至某某些扩展展存在漏漏洞容易易被攻击击者利用用。因此此,科学学的原则则是,用用到什么么扩展就就启用什什么扩展展。如果果企业站站点是静静态页面面,那什什么扩展展
2、都不要要开启。不不过现在在的企业业站点都都是交互互的动态态页面比比如assp、pphp、jjsp等等。如果果是assp页面面,那只只 需开开启“AActiive Serrverr Paagess”即可可。对于于phpp、jssp等动动态页面面IISS6.00默认是是不支持持的需要要进行安安装相应应组件实实现对这这些扩展展的支持持。不过过,此时时用不到到的扩展展完全可可以 禁禁用。禁止止Webb服务扩扩展的操操作非常常简单,打打开“IIIS管管理器”,在在左窗格格中点击击“Weeb服务务扩展”,在在右侧选选择相应应的扩展展,然后后点击“禁禁用”即即可。(图1)2、删除除不必要要的IIIS扩展展名
3、映射射IIIS默认认支持.aspp、.ccdx等等8种扩扩展名的的映射,这这其中除除了.aasp之之外其他他的扩展展几乎用用不到。这这些用不不着的扩扩展会加加重weeb服务务器的负负担,而而且带来来一定的的安全隐隐患。比比如.aasa,.cerr等扩展展名,就就可以被被攻击者者利用来来获得wwebsshelll。因因为一般般的assp系统统都会限限制assp文件件的上传传,但如如果没有有限制.asaa或者.cerr等扩展展名,攻攻击者就就可以更更改文件件后缀突突破上传传限制,运运行.aasa或或者.ccer的的文件获获得weebshhelll。(图 22)删除除IISS扩展名名的操作作是:打打
4、开IIIS管理理器,右右键单击击“默认认Webb站点”选选择“属属性”,点点击“主主目录”选选项卡,然然后点击击“配置置”打开开应用程程序 窗窗口,最最后根据据自己的的需要选选择不必必要的应应用程序序映射比比如.sshtmml, .shhtm, .sstm等等,然后后点击“删删除”即即可。(图3)服务器安安全维护护(二)磁磁盘权限限设置很简单,大大体来说说就几步步:第一, 先创建一一个用户户组,以以后任何何的站点点的用户户都建在在这个組組里,然然后配置置这个组组在各个个分区没没有权限限或完全全拒绝(直直接在根根磁盘配配置就能能够了,不不要替换换任何子子目录的的权限)。然然后再配配置各个个IIS
5、S用户在在各自的文档档夹里的的权限。第二,改名或卸载不安全组件 第三,把system32下面的一些常用网络命令配置成只有 system administrators 能够访问 其他用户全部删除,如net.exe tftp.exe at.exe .网上应该有很多相关介绍了第四,使用一般用户启动mssql或mysql数据库假如出现asp数据库连不上的问题,应该是c:windowstemp c:WINDOWSIIS Temporary Compressed Files 文档夹没有给虚拟用户组权限,给他可读可写。这样配置置出来,不不支持t, 要支支持的话话 c:WIINDOOWSMiccrossoft
6、t.NEETFFrammewoorkv1.1.443222这个目目录也要要给虚拟拟用户组组可运行行权限,wweb文文档夹要要加上iiis_wpgg可读可可写,但但开启t会带来来新的安安全问题题,假如如无需的的话不建建议开启启。ASP的的安全设设置:设置过权权限和服服务之后后,防范范aspp木马还还需要做做以下工工作,在在cmdd窗口运运行以下下命令:regssvr332/uu C:WIINNTTSyysteem322wsshomm.occxdel C:WINNNTSysstemm32wshhom.ocxxregssvr332/uu C:WIINNTTsyysteem322shhelll32.d
7、llldel C:WINNNTsysstemm32sheell332.ddll即可将WWScrriptt.Shhelll, SShelll.aappllicaatioon, WSccrippt.NNetwworkk组件卸卸载,可可有效防防止assp木马马通过wwscrriptt或shhelll.apppliicattionn执行命命令以及及使用木木马查看看一些系系统敏感感信息。另另法:可可取消以以上文件件的usserss用户的的权限,重重新启动动IISS即可生生效。但但不推荐荐该方法法。另外,对对于FSSO由于于用户程程序需要要使用,服服务器上上可以不不注销掉掉该组件件,这里里只提一一下FSS
8、O的防防范,但但并不需需要在自自动开通通空间的的虚拟商商服务器器上使用用,只适适合于手手工开通通的站点点。可以以针对需需要FSSO和不不需要FFSO的的站点设设置两个个组,对对于需要要FSOO的用户户组给予予c: winnntssysttem332sccrruun.ddll文文件的执执行权限限,不需需要的不不给权限限。重新新启动服服务器即即可生效效。对于于这样的的设置结结合上面面的权限限设置,海海阳木马马已经在在这里失失去了作作用.服务器安安全维护护(三)MySSQL安安全设置置:如果服务务器上启启用MyySQLL数据库库,MyySQLL数据库库需要注注意的安安全设置置为:删除myysqll中
9、的所所有默认认用户,只只保留本本地rooot帐帐户,为为rooot用户户加上一一个复杂杂的密码码。赋予予普通用用户 uupdaateddeleeteaalerrtcrreattedrrop权权限的时时候,并并限定到到特定的的数据库库,尤其其要避免免普通客客户拥有有对myysqll数据库库操作的的权限。检检查 mmysqql.uuserr表,取取消不必必要用户户的shhutddownn_prriv,relload_pprivv,prroceess_priiv和FFilee_prriv权权限,这这些权限限可能泄泄漏更多多的服务务器信息息包括非非myssql的的其它信信息出去去。可以以为myysql
10、l设置一一个启动动用户,该该用户只只对myysqll目录有有权限。设设置安装装目录的的datta数据据库的权权限(此此目录存存放了mmysqql数据据库的数数据信息息)。对对于myysqll安装目目录给uuserrs加上上读取、列列目录和和执行权权限。Serrv-uu安全问问题:安装程序序尽量采采用最新新版本,避避免采用用默认安安装目录录,设置置好seerv-u目录录所在的的权限,设设置一个个复杂的的管理员员密码。修修改seerv-u的 bannnerr信息,设设置被动动模式端端口范围围(4000140003)在在本地服服务器中中设置中中做好相相关安全全设置:包括检检查匿名名密码,禁禁用反超超
11、时调度度,拦截截“FTTP bbounnce”攻攻击和FFXP,对对于在330秒内内连接超超过3次次的用户户拦截110分钟钟。域中中的设置置为:要要求复杂杂密码,目目录只使使用小写写字母,高高级中设设置取消消允许使使用 MMDTMM命令更更改文件件的日期期。更改seerv-u的启启动用户户:在系系统中新新建一个个用户,设设置一个个复杂点点的密码码,不属属于任何何组。将将serrvu的的安装目目录给予予该用户户完全控控制权限限。建立立一个FFTP根根目录,需需要给予予这个用用户该目目录完全全控制权权限,因因为所有有的fttp用户户上传,删删除,更更改文件件都是继继承了该该用户的的权限,否否则无法
12、法操作文文件。另另外需要要给该目目录以上上的上级级目录给给该用户户的读取取权限,否否则会在在连接的的时候出出现5330 NNot logggedd inn, hhomee diirecctorry ddoess noot eexisst。比比如在测测试的时时候fttp根目目录为dd:sooft,必必须给dd盘该用用户的读读取权限限,为了了安全取取消d盘盘其他文文件夹的的继承权权限。而而一般的的使用默默认的 sysstemm启动就就没有这这些问题题,因为为sysstemm一般都都拥有这这些权限限的。MSSSQL数数据库服服务器的的安全设设置对于专用用的MSSSQLL数据库库服务器器,对外外只开放
13、放14333和556311端口。对对于MSSSQLL首先需需要为ssa设置置一个强强壮的密密码,使使用混合合身份验验证,加加强数据据库日志志的记录录,审核核数据库库登陆事事件的”成成功和失失败”.删除一一些不需需要的和和危险的的OLEE自动存存储过程程(会造造成企业业管理器器中部分分功能不不能使用用),这这些过程程包括如如下:Sp_OOACrreatte SSp_OOADeestrroy Sp_OAGGetEErroorInnfo Sp_OAGGetPPropperttySp_OOAMeethood SSp_OOASeetPrropeertyy Spp_OAAStoop去掉不需需要的注注册表访
14、访问过程程,包括括有:Xp_rregaaddmmulttisttrinng XXp_rregddeleetekkey Xp_reggdelleteevallueXp_rregeenummvalluess Xpp_reegreead Xp_reggremmoveemulltisstriingXp_rregwwritte去掉其他他系统存存储过程程,如果果认为还还有威胁胁,当然然要小心心Droop这些些过程,可可以在测测试机器器上测试试,保证证正常的的系统能能完成工工作,这这些过程程包括:xp_ccmdsshelll xxp_ddirttreee xpp_drropwwebttaskk spp_ad
15、ddsrrvroolemmembberxp_mmakeewebbtassk xxp_rrunwwebttaskk xpp_suubdiirs sp_adddlogginsp_aaddeexteendeedprroc在实例属属性中选选择TCCP/IIP协议议的属性性。选择择隐藏 SQLL Seerveer 实实例可防防止对114344端口的的探测,可修改改默认使使用的114333端口。除除去数据据库的gguesst账户户把未经经认可的的使用者者据之在在外。 例外情情况是mmastter和和 teempddb 数数据库,因为对对他们gguesst帐户户是必需需的。另另外注意意设置好好各个数数据库用用户的权权限,对对于这些些用户只只给予所所在数据据库的一一些权限限。在程程序中不不要用ssa用户户去连接接任何数数据库。网网络上有有建议大大家使用用协议加加密的,千千万不要要这么做做,否则则你只能能重装MMSSQQL了。服务器安安全维护护 (四四)入侵侵检测工工作作为服务务器的日日常管理理,入侵侵检测是是一项非非常重要要的工作作,在平平常的检检测过程程中,主主要包含含日常的的服务器器安全例例行检查查和遭到到入侵时时的入侵侵检查,也也就是分分为在入入侵进行行时的安安全检查查和在入入侵前后后的安
